Corriger les failles de sécurité, c’est évidemment primordial. Mais communiquer correctement auprès de ses utilisateurs l’est également. Apple a ainsi corrigé des failles affectant Safari découvertes au mois de juin par un chercheur de l’équipe Google Zero, Ivan Fratric. Celui explique dans un post de blog avoir découvert les vulnérabilités en effectuant des tests de fuzzing à l’aide d’un outil open source de sa conception baptisé Domato. Le fuzzing est une technique consistant à envoyer des données aléatoires à un logiciel afin de voir si celles-ci provoquent des erreurs et ouvrent la voie à de potentielles failles. Grâce à son outil, Ivan Fratric est parvenu à identifier 9 failles affectant Webkit, le moteur utilisé par Safari. Il a communiqué le résultat de ses recherches à Apple, qui s’est donc empressé de patcher.

 

Mais l’approche retenue par Apple interroge le chercheur. Apple a en effet corrigé la faille dans la version iOS de Safari dans un patch correctif publié le 17 septembre, sans l’indiquer clairement. Une semaine après ce premier correctif déployé en toute discrétion, Apple a corrigé les mêmes failles dans la version macOS du navigateur. Et en a profité pour modifier le message du 17 septembre afin d’ajouter les détails sur les failles corrigées.

Un patch en deux temps

Apple a donc laissé une semaine de battement entre les deux correctifs et c’est précisément ce qui inquiète Ivan Fratric. Dans son post de blog, il s’interroge sur l’approche retenue par Apple : « Le post initial ne faisait pas mention des premiers correctifs, car Apple voulait sûrement attendre d’avoir un correctif pour les versions macOS de Safari avant de les évoquer publiquement. Mais cette pratique est trompeuse, car les clients qui s’intéressent au contenu des mises à jour de sécurité ne vont lire le contenu des mises à jour qu’une seule fois. »

Selon Ivan Fratric, cette méthode pourrait pousser les utilisateurs à négliger un patch corrigeant une vulnérabilité importante. Cela pourrait également permettre à des cybercriminels d’analyser le correctif publié pour iOS afin d’identifier la faille de sécurité et de l’exploiter ensuite sur macOS avant que le patch ne soit disponible.

Ce n’est pas la première fois que la communication sur les failles de sécurité corrigées par un éditeur fait débat. Cette question avait déjà été évoquée largement à l’époque de la diffusion du ransomware WannaCry, qui exploitait une faille au sein du protocole SMB sur Windows baptisé EternalBlue. Microsoft avait corrigé cette faille au mois de mars, mais n’avait pas communiqué auprès des administrateurs sur l’importance de ce patch, ce qui avait conduit certains administrateurs à retarder l’application du correctif jugé peu important.

Mais les détails de la faille avaient été rendus publics par le groupe des Shadow Brokers et celle-ci avait été largement exploitée pour diffuser des malwares. WannaCry est le plus connu, mais on peut également citer le cas du malware de cryptomining Adykluzz, qui exploitait la même vulnérabilité.